グループ ポリシーを用いたクライアント管理
(Windows Server 2008 R2編)
1 はじめに
学校の中には多くのコンピュータがあり,さまざまな設定がされています。仮にコンピュータ教室の生徒用コンピュータにプロキシサーバの設定がされているものと設定されていないものがあった場合,授業でインターネット上のサイトにアクセスして調べ学習をさせようとしたとき,特定のサイトにアクセスできる生徒とアクセスできない生徒がおり,授業に支障が出ることもあります。設定の統一性がなければ,このようなことが起こります。また,「1年生にはこのショートカットをデスクトップに表示しておきたいが,2年生には不要」といった,学習状況に応じた環境に変更したい場合もあると思います。このようなことを実現するために,Windows Server(2003以降)には「グループ ポリシー」という機能が導入されています。ここでは,この「グループ ポリシー」についての説明と具体的な設定例を紹介します。
2 「グループ ポリシー」とは
「グループ ポリシー(Group Policy)」とは,簡単に言えば,ユーザが所属するコンピュータネットワーク内で何ができ,何ができないかを制御するものです。例えば,Internet Explorerの設定やユーザごとのショートカットの作成などの他に,特定のソフトウェアの使用を禁止したり,実行ファイルのダウンロードを禁止したりすることもできます。これらの内容をまとめると表1のようになります。
| レジストリの設定 | レジストリを変更して,システムの設定を変更する。 |
|---|---|
| セキュリティの設定 | ファイルやレジストリのアクセス権を設定する。 |
| ソフトウェアのインストール | Windowsインストーラを利用して,ソフトウェアをインストールする。 |
| スタートアップなどのスクリプト | コンピュータの起動時・終了時,ユーザのログオン・ログオフ時にスクリプトを実行する。 |
| Internet Explorerの設定 | ホームページの設定やプロキシサーバの設定,「お気に入り」へのリンクの追加/削除などを行う。 |
| フォルダのリダイレクト | マイドキュメントなどのフォルダを,各コンピュータのローカルからファイルサーバのフォルダにリダイレクトする。 |
「グループ ポリシー」の設定は,サーバ内の「Group Policy Object (GPO)」 に格納されます。各コンピュータのローカル,Active Directoryのサイト,ドメイン,組織単位(OU)にリンクさせることで「グループ ポリシー」を適用させることができます。この仕組みによって,サーバのGPOの設定を変更するだけで,複数のコンピュータやユーザに対する設定の変更を一度に行うことができます。
「グループ ポリシー」は複数のActive Directoryのサイトやドメイン,組織単位(OU)に複数設定することが可能ですが,設定内容によっては設定の重複や矛盾が生じることがあります。そのため,「グループ ポリシー」の適用には表2のような順序で処理が行われ,下に表示されているほど優先度が高くなるようにしています。また,同一階層内においても優先順位を付けることができますので,設定が矛盾なく行われるようになっています。
| 優先度 | 適用されるポリシー | |
|---|---|---|
| 5 | ローカルコンピュータのポリシー | ローカルコンピュータに割り当てたポリシー |
| 4 | サイトのポリシー | Active Directoryのサイトに割り当てたポリシー |
| 3 | ドメインのポリシー | Active Directoryのドメインに割り当てたポリシー |
| 2 | 親OUのポリシー | Active Directoryの親OUに割り当てたポリシー |
| 1 | 子OUのポリシー | Active Directoryの子OUに割り当てたポリシー |
例えば,パスワードの文字数を
- ローカルコンピュータのポリシーでは0文字以上
- サイトのポリシーでは8文字以上
- [OU="生徒"]のポリシーでは6文字以上
と設定した場合,[OU="生徒"]に属している生徒のパスワードの文字数は6文字以上となります。
3 「グループ ポリシー管理コンソール(GPMC)」のインストール
「グループ ポリシー」を用いてコンピュータやユーザを管理するためには,「グループ ポリシー管理コンソール(GPMC)」を使います。このツールは「ドメイン コントローラー」として使用しているサーバであれば,構成時にインストールされますが,一般サーバやクライアントには標準ではインストールされていません。一般的にサーバは,隔離された部屋に設置されるため,作業のたびにその場所に行かなければなりません。そのような煩わしさを解消するため,アカウントや「グループ ポリシー」などを管理する際は,「ActiveDirectory管理センター」や「グループ ポリシー管理コンソール(GPMC)」などの管理ツールを管理端末にインストールして,リモート管理するのが一般的です。ここでは,管理端末にGPMCをインストールする方法を紹介します。
(1) 「グループ ポリシー管理コンソール(GPMC)」の管理端末へのインストール
ア 「グループ ポリシー管理ツール(RSAT)」のダウンロードとインストール
Windows Server 2008用のGPMCは「リモートサーバー管理ツール(RSAT)」の中に含まれています。RSATをインストールしたのち,GPMCを有効化することで,使用可能になります。
(ア) Microsoft社のダウンロードサイトから,インストールする管理端末のOS用のRSATをダウンロードします(表3)。
| Windows 8.1 | Windows 8.1 用のリモート サーバー管理ツール |
|---|---|
| Windows 8 | Windows 8 用のリモート サーバー管理ツール |
| Windows 7 | Windows 7 Service Pack 1 (SP1) 用のリモート サーバー管理ツール |
| Windows Vista | Windows Vista for x64-based Systems 用 Microsoft リモート サーバー管理ツール |
| Windows Vista 用 Microsoft リモート サーバー管理ツール |
インストールプログラムには64ビットOS用と32ビットOS用があります。x64と書かれているものが64ビットOS用,x86と書かれているものが32ビットOS用です。また,サービスパックの適用条件によっては,インストールできない場合もありますので,同社のサイトよりインストール要件を確認します。
(イ) ダウンロードしたファイルをダブルクリックしてインストールします。
イ 「グループ ポリシー管理ツール(GPMC)」の有効化
「グループ ポリシー管理ツール(GPMC)」はインストールしただけでは,メニューに登録されず使用できません。以下の手順でGPMCを有効化すると使用できるようになります。
(ア) 「コントロールパネル」を開きます。
(イ) 「プログラム」グループを開きます。
(ウ) 「Windows の機能の有効化または無効化」をクリックします(図1)。
図1 コントロールパネル(プログラムグループ)
(エ) ユーザーアカウント制御(UAC)による実行許可を求めるダイアログが表示される場合は,「続行」をクリックします。
(オ) 「Windowsの機能の有効化または無効化」画面のリストから「リモートサーバー管理ツール」を選び,クリックします。
(カ) 表示されたリスト内の「機能管理ツール」をクリックし,「グループ ポリシー管理ツール」(図2の「グループポリシー管理ツール」)にチェックを入れます。
図2 Windowsの機能
(キ) 「OK」をクリックすると,インストールが完了します。
インストールが完了すると,コントロールパネルの「管理ツール」の中に,「グループ ポリシーの管理」というショートカットが表示されます。
(2) 「グループ ポリシー管理コンソール(GPMC)」のサーバへのインストール
「ドメイン コントローラー」として使用しているサーバには,構成時にGPMCがインストールされていますので,改めてインストールする必要はありません。「ドメイン コントローラー」として使用していない一般のサーバで管理したい場合は,次の手順でインストールします。
(ア) 管理ツール」の「サーバーマネージャー」を開きます。
(イ) メニューの「操作(A)」から「機能の追加」を選びます(「機能の概要」に表示されている「機能の追加」(図3)を選ぶ方法もあります)。
図3 サーバーマネージャー
(ウ) 「機能の追加ウィザード」(図4)で「グループ ポリシーの管理」にチェックを入れ,「次へ(N)」をクリックします。
図4 機能の追加ウィザード
(エ) 「インストールオプション」で「グループ ポリシーの管理」を確認した後,「インストール(I)」をクリックします。
(オ) インストール結果を確認し,「閉じる(O)」をクリックします。
インストールが完了すれば,「管理ツール」の中に,「グループ ポリシーの管理」というショートカットが表示されます。なお,環境によっては,「ActiveDirectoryドメインサービス」のインストールも必要になりますが,その場合は自動的にインストール項目が選択されますので,インストーラの指示に従ってインストールします。
4 グループポリシーの基本的な設定方法
「グループ ポリシー」を用いてクライアントを管理するためには,「グループ ポリシー オブジェクト(GPO)」の作成後,そのGPOを編集して,ドメインや各OUに適用させるという手順で設定します。
以下の操作はGPMCがインストールされているコンピュータであれば,どこからでも可能ですが,今回は,生徒実習室において,GPMCをインストールした管理端末(教員用コンピュータ)から操作する前提で説明します。
(1) 「グループ ポリシー オブジェクト」の作成
(ア) コントロールパネルの中にある「管理ツール」を開き,「グループ ポリシーの管理」を開きます(スタートメニューをクリックして表示される検索ボックスやコマンドプロンプトなどのコマンドツールから,「gpmc.msc」と打ち込む方法もあります)。インストール直後など,まだ何も設定されていない状態では,「Default Domain Controllers Policy」と「Default Domain Policy」の二つのGPOが存在しますが,今回は新たなGPOを作成しますので,特に設定する必要はありません。
(イ) グループ ポリシーの管理」(図5)画面左ペインにある「フォレスト」をクリックして,展開します。
(ウ) 同様に,「ドメイン」→「(ドメイン名)」の順にクリックして展開します。
図5 「グループ ポリシーの管理」
(エ) 表示された「グループ ポリシー オブジェクト」を選択し,メニューの「操作(A)」から「新規(N)」をクリックします(「グループ ポリシー オブジェクト」を選択し,右クリックして表示されるメニューから「新規(N)」を選ぶこともできます)。
(オ) 新しいGPOに名前を付けます(図6)。ここでは「最後のユーザ非表示」とします。画面下部の「ソース スターター GPO(S):」は,「(なし)」のままで構いません。
図6 「新しいGPO」
(カ) 「OK」をクリックすると,「グループ ポリシーの管理」画面右ペインに,作成したGPOが追加されます(図7)。
図7 「作成したGPO」
(2) 「グループ ポリシー」の構成
(ア) 「グループ ポリシー管理」画面において4(1)で作成したGPO(最後のユーザ非表示)を選択し,メニューの「操作(A)」から「編集(E)」を選び,「グループポリシー管理エディター」画面を開きます(作成したGPOを右クリックして表示されるメニューから「編集(E)」を選ぶこともできます)。
図8 「グループ ポリシー管理エディター」
この操作で表示される画面(図8 「グループ ポリシー管理エディター」)から,ポリシーや基本設定を選択して,項目を設定します。具体的な項目は,「5 具体的な設定項目」で説明します。ここでは,「対話型ログオン:最後のユーザー名を表示しない」を例として説明します。
(イ) 「グループ ポリシー管理エディター」画面より「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「セキュリティ オプション」の順にクリックします(図9)。
図9 「グループ ポリシー管理エディター」(対話型ログオン:最後のユーザー名を表示しない」
「グループ ポリシー管理エディター」画面右ペインに,設定可能なポリシーが表示されます。GPOを作成した段階では,すべてのポリシーが「未定義」になっています。設定を行うためには,ポリシーを定義する必要があります。
(ウ) 画面右ペインに表示されているポリシーの中から,「対話型ログオン:最後のユーザー名を表示しない」を選択し,メニューの「操作(A)」から「プロパティ(R)」を選びます(ポリシーを右クリックして表示されるメニューから「プロパティ(R)」を選ぶこともできます)。
(エ) 「このポリシーの設定を定義する(D)」にチェックを入れ,「有効(E)」を選択します(図10)。
図10 「対話型ログオン:最後のユーザー名を表示しない」のプロパティ
(オ) 「OK」をクリックすると,設定が完了します。
「無効」の役割について
ところで,ポリシーの定義をしなければ設定が行われないにもかかわらず,設定項目には「無効(S)」が存在します。この「無効」はどのようなときに使うのでしょうか。
「グループ ポリシー」は一つのポリシーに対して,複数のOUなどから設定することが可能です。場合によっては,上位のOUなどで設定したものを無効化したい場合もあります。例えば,「対話型ログオン:最後のユーザー名を表示しない」の設定の場合,ローカル(各クライアント)のポリシーでは「有効」に設定されているが,ドメインとしては「無効」にしたい場合などです。具体的には表4のようになります。
| 上位のOU | ||||
|---|---|---|---|---|
| 有効 | 無効 | 未定義 | ||
| 下位のOU | 有効 | 有効 | 有効 | 有効 |
| 無効 | 無効 | 無効 | 無効 | |
| 未定義 | 有効 | 無効 | 未定義 | |
通常は表4のとおり,下位の設定が上位の設定を上書きします。ただし,上位の設定を下位の設定で上書きさせない(強制させる)方法もあります。これについては「(3) グループ ポリシー オブジェクトの適用」で説明します。
(3) グループ ポリシー オブジェクトの適用
ア 作成・編集したGPOの有効化
作成・編集したGPOは,サイトやドメイン,OUにリンクさせることで有効化され,機能するようになります。
(ア) 「グループ ポリシーの管理」画面左ペインのツリーから,リンクさせたいドメインまたはOUを選択します(ここでは,ドメインの「All Computers」を選択)。
(イ) メニューの「操作(A)」から「既存のGPOのリンク(L)」を選びます(図11)(選択したOUを右クリックして表示されるメニューから「既存のGPOのリンク(L)」を選ぶ方法もあります)。
図11 「グループ ポリシーの管理(リンクされたGPO)」
(ウ) 表示された画面から,リンクしたいグループ ポリシー オブジェクトを選択して,「OK」をクリックします(図12)。
図12 GPO(グループ ポリシー オブジェクト)の選択
イ リンクしたGPOを削除する設定
ここでは,GPOを削除する方法を説明しますが,削除せずに次の「ウ 一時的に無効化する場合」に進みます。 
図13 「グループ ポリシーの管理」(リンクされたGPO)※ここでは,削除しません。
(ア) 「グループ ポリシーの管理」画面左ペインのツリーから削除したいGPOのリンクを選択します。
(イ) メニューの「操作(A)」から「削除(D)」を選びます(図13)(GPOのリンクを右クリックして表示されるメニューから「削除(D)」を選ぶこともできます)。
ウ 一時的に無効化する場合
(ア) 「グループ ポリシーの管理」画面左ペインのツリーから無効化したいGPOのリンクを選択します。
(イ) メニューの「操作(A)」から「リンクの有効化(L)」を選びます(GPOのリンクを右クリックして表示されるメニューから「リンクの有効化(L)」を選ぶこともできます)。メニューの左側に入っていたチェックマーク(✓)が消えていれば無効化されています。再び有効化するには同じ操作を行い(✓)を確認します(図14)。一つのOUに対して,複数のGPOを適用した場合,重複したポリシーが,GPOによって上書きされるため,意図したポリシーにならない場合もあります。このような場合,リンクの順番を入れ替えることで対応できます。
図14 「リンクの有効化」
図15 「グループ ポリシーの管理」(リンクされたGPO)
「グループ ポリシーの管理」画面左ペインに表示されているOUを選択すると,右ペインにリンクされているGPOが表示されます。そのうちの一つを選択して,右ペインと右ペインの境目付近に表示されている上下の矢印をクリックすると,リンクの順番を入れ替えることができます。ポリシーは「リンクの順序」に表示されている順番(表示の上部(図15)から)に適用されますので,重複したポリシーがある場合は,下側に表示されているGPOが適用されることになります。
(4) 「グループ ポリシー オブジェクト」の削除
不要になったGPOを削除するには以下の手順で設定します。
図16 「グループ ポリシーの管理」(「最後のユーザ非表示」の例)
(ア) 「グループ ポリシーの管理」画面の左ペインから「グループ ポリシー オブジェクト」をクリックし,展開します(図16)。
(イ) 展開されているGPOの一覧から削除したいGPOを選択し,メニューの「操作(A)」から「削除(D)」を選びます(「グループ ポリシー オブジェクト」を右クリックして表示されるメニューから「削除(D)」を選ぶこともできます)。
(ウ) 図17のような画面が表示されますが,ここでは「いいえ(N)」を選択し,次の「5 具体的な設定項目」に進みます。
図17 削除確認画面 ※ここでは,「いいえ」をクリックします。
5 具体的な設定項目
ここでは,「グループ ポリシー」の設定について,具体的な例を取り上げ,その手順を説明します。
(1) 最後に使用したユーザ名を表示しないようにする設定例
図18 ログオン画面(前回のユーザが表示されている)
一般家庭などのように,いつも同じユーザが使うコンピュータなら,コンピュータ起動時に同じユーザ名が表示されていればパスワードの入力のみでログオンできるため,便利です(図18)。しかし,学校のように複数の生徒が別々のユーザ名でコンピュータを共有して使う場合,毎回,ログオンするユーザを選んでからログオン操作するのは不便です。そこで,「グループ ポリシー」を利用して,最後に使用したユーザ名を表示させないように設定します。
「グループ ポリシー」の設定
(ア) 「グループ ポリシーの管理」画面のメニュー「操作(A)」より「編集(E)」を選択し,「グループ ポリシー管理エディター」を開きます。「グループ ポリシー管理エディター」画面左ペインより,「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の順にクリックし,右ペインに表示された「対話型ログオン:最後のユーザー名を表示しない」をダブルクリックします(図19)。
図19 「対話型ログオン:最後のユーザー名を表示しない」の選択画面
(イ) 「対話型ログオン:最後のユーザー名を表示しない」のプロパティ画面を開き,「このポリシーの設定を定義する(D)」にチェックを入れ,「有効(E)」を選択して「OK」をクリックします(図20)。
図20 「対話型ログオン:最後のユーザー名を表示しない」のプロパティ
(2) マイドキュメントをネットワークドライブにリダイレクトする設定例
通常,クライアントでは,データの保存場所は,ローカルコンピュータのディスク(C:¥Users¥○○○○¥Documents)などに設定されています。実習室の環境では,ネットワーク上のドライブに保存場所を設定すると,管理上便利です。「グループ ポリシー」の「フォルダリダイレクト」機能を使うことで,ユーザの保存フォルダをネットワーク上に設定することができます。例えば,「マイドキュメント」の保存場所をローカルコンピュータではなく,ネットワーク上のドライブに設定し,生徒には通常の操作で「マイドキュメント」に保存させるようにすれば,生徒は自分が使用しているコンピュータ内に保存したときと同じように利用できるため,授業展開や管理の面で便利になります。また,このように別の場所に保存用ドライブなどを設定することをフォルダリダイレクトと呼びます。
「グループ ポリシー」の設定
「グループ ポリシー管理エディター」画面左ペインのツリーより,「ユーザーの構成」→「ポリシー」→「Windows の設定」→「フォルダー リダイレクト」をクリックします。
図21 「フォルダー リダイレクト」の設定
リダイレクトできるフォルダは図21の右ペインに表示されているように,「ドキュメント」フォルダ以外にも「デスクトップ」や「ダウンロード」などがあり,個別に設定することができます。
図22 「ドキュメントのプロパティ」画面
図21の各フォルダの名前を右クリックして表示されるメニューから「プロパティ」をクリックすると,図22のような設定画面が表示されます。「ターゲット」タブをクリックし,表示された画面の「設定」のリストより,以下の設定が選択できます。
- 「基本 - 全員のフォルダを同じ場所にリダイレクトする」
- 「詳細設定 - ユーザー グループ別に場所を指定する」
- 「構成されていません(既定値)」
「基本 - 全員のフォルダを同じ場所にリダイレクトする」を選択した場合は,全てのユーザのフォルダ(図22の場合は「ドキュメントフォルダ」)を同一のフォルダにリダイレクトします。複数のユーザのフォルダが同一階層にそろうことになりますが,下にある「対象のフォルダの場所」で,全員が同じフォルダにすることも,ユーザごとにサブフォルダを作ることも可能です。通常は「基本 - 全員のフォルダを同じ場所にリダイレクトする」を選択します。
「詳細設定 - ユーザー グループ別に場所を指定する」を選択した場合は,グループあるいはユーザごとにリダイレクトするフォルダを使い分けます。ただし,設定の対象となるグループ(ユーザ)に対してリダイレクト先を指定しなければなりません。ディスク容量の関係で,学年や学科ごとにリダイレクト先を変えるような場合に選択します。
いずれの場合でも,「対象のフォルダの場所」として,以下の設定が選択できます。また,ルートパスにはフォルダの場所を指定します。
- 「ユーザーのホームディレクトリにリダイレクトする」
- 「ルートパスの下に各ユーザーのフォルダを作成する」
- 「以下の場所にリダイレクトする」
- 「ローカルユーザープロファイルにリダイレクトする」
「ユーザーアカウントのプロパティ」で,ホームディレクトリに指定したパスをリダイレクト先にします。
指定したパスの下にユーザのフォルダを作成し,そのフォルダをリダイレクト先にします。
指定した共有フォルダまたはローカルパスをリダイレクト先にします。環境変数[ %USERNAME% ]を併用すると,ユーザごとに別々のフォルダを使う指定が可能です。
リダイレクトを行いません。
フォルダリダイレクト設定時の注意
「ルートパスの下に各ユーザーのフォルダを作成する」と「以下の場所にリダイレクトする」の設定をした場合は,ルートパスの書き方に注意が必要です。
例えば,ユーザ「student01」のフォルダをリダイレクトしたい場合,ルートパスに[¥¥SERVER¥Users¥Documents]と指定すると,それぞれの設定では以下のようなパスが設定されます。
- 「ルートパスの下に各ユーザーのフォルダを作成する」
- 「以下の場所にリダイレクトする」
[¥¥SERVER¥Users¥Documents¥student01]
[¥¥SERVER¥Users¥Documents]
このように,「以下の場所にリダイレクトする」ではユーザごとにフォルダを変えるように設定したつもりが,全てのユーザのフォルダがネットワーク上の同じ場所に設定されてしまいます。また,ルートパスに[¥¥SERVER¥Users¥%USERNAME%¥Documents]を指定した場合,各選択肢では以下のように設定されます。
- 「ルートパスの下に各ユーザーのフォルダを作成する」
- 「以下の場所にリダイレクトする」
[¥¥SERVER¥Users¥student01¥Documents¥student01]
[¥¥SERVER¥Users¥student01¥Documents]
「ルートパスの下に各ユーザーのフォルダを作成する」では各ユーザの「Documents」フォルダの下にもユーザ名のフォルダが作成されてしまいます。
(3) コントロールパネルの項目の一部を表示させる設定例
図23 すべてのコントロールパネルの項目(設定により一部のみ表示させた例)
コントロールパネルには多くの設定項目があります。家庭で使用する個人用のコンピュータであれば,任意に設定を変更しても,使用者は本人のみですから問題になることはありません。しかし,学校のコンピュータ実習室のように同一の学習環境下で使用したい場合,設定がコンピュータごとに異なっていると授業に支障が生じます。「グループ ポリシー」の設定により,コントロールパネルに表示される項目を必要最小限とし,残りは非表示にして生徒が設定できないようにすることができます(図23)。
「グループ ポリシー」の設定
【「指定されたコントロールパネルの項目のみを表示する」の設定】
「グループ ポリシー管理エディター」画面左ペインのツリーより,「ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「コントロールパネル」の順にクリックし,右ペインに表示されている「指定されたコントロールパネルの項目のみを表示する」をダブルクリックします。
【「指定されたコントロールパネルの項目を非表示にする」の設定】
「グループ ポリシー管理エディター」画面左ペインのツリーより,「ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「コントロールパネル」の順にクリックし,右ペインに表示されている「指定されたコントロールパネルの項目を非表示にする」をダブルクリックします。
どちらの設定も,「指定されたコントロールパネルの項目のみを表示する」画面の「有効」のラジオボタンにチェックが入ります(図24)。
図24 「指定されたコントロールパネルの項目のみを表示する」のプロパティ
図24「指定されたコントロールパネルの項目のみを表示する」画面の「表示...」ボタンをクリックすると,図25のような画面が表示されますので,値のテキストボックスに「表示/非表示」したいコントロールパネルの正式名をキーボードから入力します。コントロールパネルの正式名は,Microsoft社の「Canonical Names of Control Panel Items」に記載されています。
図25 「表示するコンテンツ」(表示したいコントロールパネルの名称を入力した例)
(4) 個人による設定の変更を禁止する設定例
コンピュータの背景画面の画像,マウスポインタの形状やテーマなどを「グループ ポリシー」を利用して設定変更を禁止することができます。
「グループ ポリシー」の設定
「グループ ポリシー管理エディター」画面左ペインより,「ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「コントロールパネル」→「個人設定」の順にクリックします(図26)。
図26 個人設定
右ペインに表示された設定項目を必要に応じてダブルクリックして「プロパティ」を開き,表示された画面の「有効」を選択すると,ユーザによる設定変更ができないようになります。
(5) リムーバブルメディアの使用制限の設定例
図27 「アクセス禁止」ダイアログ
ウイルス対策やデータ管理のため,「グループ ポリシー」でリムーバブルディスクやCDなどの使用を制限することができます(図27)。
この設定は,コンピュータに対して設定することもできますし,ユーザに対して設定することもできます。コンピュータに対して設定を行えば,どのユーザであっても(たとえ管理者であっても)アクセスすることができません。また,例えば,生徒に対してアクセス拒否の設定をして,教員は利用できる設定も可能です。
「グループ ポリシー」の設定
【コンピュータに対する設定】
「グループ ポリシー管理エディター」画面左ペインのツリーより,「コンピュータの構成」→「ポリシー」→「管理用テンプレート」→「システム」→「リムーバブル記憶域へのアクセス」をクリックします(図28)。
図28 リムーバブル記憶域へのアクセス制限(コンピュータに対する設定)
「CD/DVD」や「フロッピーディスク」など,リムーバブルメディアの種類ごとに「読み取り」,「書き込み」のアクセスについての設定画面が右ペインに表示されます。それぞれの設定は,「プロパティ」から,設定を「有効」にすることで,「読み取り」,「書き込み」を拒否することができます。USBメモリは「リムーバブルディスク」の項目を選択します。携帯電話やメディアプレイヤー,SDカード等は「WPDデバイス」の項目を選択します。
【ユーザに対する設定】
「グループ ポリシー管理エディター」画面左ペインのツリーより,「ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「システム」→「リムーバブル記憶域へのアクセス」をクリックします(図29)。設定方法は,コンピュータに対する設定と同様です。
図29 リムーバブル記憶域へのアクセス制限(ユーザに対する設定)
(6) ファイル,フォルダ,ショートカットの作成の設定例
授業で使用するアプリケーションソフトウェアやデータのショートカットをコンピュータのデスクトップに表示させることはよくあります。しかし,例えば「2年の授業ではこのアプリケーションソフトウェアとデータが必要だが,3年では不要」とか,「数学の授業ではこのアプリケーションソフトウェアが必要だが,理科では別のアプリケーションソフトウェアを使いたい。しかし,同じデスクトップにあると紛らわしい」こともあります。「グループ ポリシー」の「ファイルの配布」機能を使って,ユーザがログオンした時にショートカットやファイル,フォルダをデスクトップなどに作成したり,表示しないように削除する設定が可能です。
グループ ポリシーの設定
【コンピュータに対する設定】
「グループ ポリシー管理エディター」画面の左側のツリーより,「コンピュータの構成」→「基本設定」→「Windowsの設定」→「システム」の順にクリックし,さらに,必要に応じて「ファイル」,「フォルダ」,「ショートカット」から設定したい項目を選択します。
「グループ ポリシー管理エディター」画面右ペインの画面内の一部を右クリックして表示されたメニューより,「新規作成」→「ファイル(またはフォルダ,ショートカット)」をクリックし,設定します。また,新規に作成された「ファイル(またはフォルダ,ショートカット)」には,「作成」,「置換」,「更新」,「削除」の四つのアクションがあります。そのうち,「置換」と「更新」は,以下のように動作します。
- 「置換」の場合は,現在のショートカット等を削除してから再作成します。したがって,処理後の状態は,既存のショートカット等の上書きになります。
- 「更新」の場合は,定義されている属性等の設定のみが更新されます。したがって,それ以外の設定は現状が維持されます。
四つのアクションは,それぞれ,同様の操作で作成,設定できます。以下で,その作成と設定方法について説明します。
ア ファイルを作成する場合(図30)
「新しいファイルのプロパティ」画面の「全般」タブより,ソースファイル(コピー元)とターゲットファイル/ターゲットフォルダ(コピー先)を指定します。コピー元にワイルドカード([ * ]または[ ? ])を使用することで,複数のファイルをコピーすることが可能です。この場合,コピー先はターゲットフォルダになります。ワイルドカードを使用しない場合,コピー先はターゲットファイルになります。この場合,コピー先とコピー元で異なるファイル名を付けることができます。それぞれのファイルのパスは「...」のボタンをクリックすることで指定できます。また,ファイルを更新する場合は,「アクション(T):」を「更新」に変更します。
図30 ファイルの作成設定画面
イ フォルダを作成する場合
フォルダを作成する場合(図31)は,「アクション(T):」より「作成」を選択します(図31)。また,必要に応じて「...」のボタンをクリックし,フォルダのパスを指定します。
図31 フォルダの作成設定画面
フォルダを削除する場合(図32)は,「アクション(T):」より「削除」を選択します(図32)。また,必要に応じて「...」ボタンで削除するフォルダのパスを指定した後,下部のチェック項目から処理を指定することができます。
図32 フォルダの削除設定画面
ウ ショートカットを作成する場合
ショートカットを作成する場合(図33),ターゲットの種類を「ファイル システム オブジェクト」とすると,通常のショートカットが作成されます。作成する「場所」はパス指定以外にもデスクトップなど,さまざまな場所に指定することができます。また,ターゲットの種類を「URL」に変更することで,インターネット上へのリンクを作成することができます。
図33 ショートカットの作成
【ユーザに対する設定】
「グループ ポリシー管理エディター」画面の左側のツリーより,「ユーザーの構成」→「基本設定」→「Windowsの設定」→「システム」の順にクリックし,さらに,必要に応じて「ファイル」,「フォルダ」,「ショートカット」から設定したい項目を選択します(図34)。設定方法は,コンピュータに対する設定と同様です。
図34 ファイル,フォルダ,ショートカットの作成(ユーザに対する設定)
(7) ネットワークドライブの割り当て・ドライブの非表示の設定例
授業で使用する教材を共有フォルダに保存しておき,生徒にアクセスさせることがあります。その際,ドライブレターを割り当てておくと,ローカルコンピュータの「マイコンピュータ」からアクセスすることができて便利です。また,「マイコンピュータ」内にはハードディスクなどが表示されており,ドライブ内のフォルダやファイルを誤って削除したり,移動させてしまったりする誤操作をなくすため,必要のないドライブを非表示に設定することができます。ただし,非表示にするだけですので,ファイル/フォルダのパスを直接指定すればアクセスすることは可能です。
ア ドライブの割り当て
「グループ ポリシー」の設定
「グループ ポリシー管理エディター」画面左ペインより,「ユーザーの構成」→「基本設定」→「Windowsの設定」→「ドライブマップ」をクリックし,右ペインの画面の一部を右クリックして「新規作成」→「ドライブマップ」をクリックします(図35)。
図35 新しいドライブのプロパティ
ネットワークドライブの設定を伴わない場合は,アクションを「更新」,場所を空欄にすれば,既存の物理ドライブに対して「表示/非表示」の設定が可能になります。
既存の物理ドライブに対しての「表示/非表示」の設定は次の手順でも設定できます。
イ ドライブの非表示
「グループ ポリシー」の設定
「グループ ポリシー管理エディター」画面の左側のツリーより,「ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「Windowsコンポーネント」→「エクスプローラー」の順にクリックし,右ペインに表示されている「指定したドライブで[マイコンピューター]内で非表示にする」をダブルクリックします。
(8) 特定のアプリケーションを使用禁止にする設定例
標準でクライアントにインストールされるアプリケーションの中には,授業では利用しないソフトウェアも含まれています。これらのソフトウェアの使用を禁止することも「グループ ポリシー」を使えば簡単にできます。ここでは例として,「レジストリ エディタ」(図36)を使用禁止にする設定について説明します。
図36 レジストリ エディター
「グループ ポリシー」の設定
「グループ ポリシー管理エディター」画面左ペインより,「ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「システム」の順にクリックし,右ペインに表示された「レジストリ編集ツールへアクセスできないようにする」または「指定されたWindowsアプリケーションを実行しない」をダブルクリックします(図37)。
図37 システムに関する設定一覧
「レジストリ編集ツールへアクセスできないようにする」設定では,アクセスできない設定を有効にするためラジオボタンの「有効」にチェックを入れ,「適用」,「OK」の順にクリックします(図38)。
図38 レジストリ編集ツールへアクセスできないようにする
また,「指定されたWindowsアプリケーションを実行しない」設定の場合,「実行を許可しないアプリケーションの一覧」(図39)に実行を許可しないアプリケーションの名称を入力する必要があります。
図39 指定されたWindowsアプリケーションを実行しない
6 管理用テンプレートについて
(1) 管理用テンプレートとは
ここまで紹介してきた「グループ ポリシー」のうち,幾つかは「管理用テンプレート」としてテンプレートファイルによって定義されています。このファイルは,ポリシーの項目に対応したレジストリの設定について,XML形式で記述されています。このファイルを作成または修正することで,多くのレジストリに対して,簡単な操作で設定できるようになります。
この「管理用テンプレート」の設定は,通常,ローカルコンピュータの「C:¥Windows¥PolicyDefinitions」またはドメイン コントローラー上の「SYSVOL共有¥domain¥policies¥policyDefinitions」(ここを中央ストアという)に格納されています。前者はローカルコンピュータに格納されているため,そのコンピュータでしかその「管理用テンプレート」を使ったGPOの編集ができませんが,後者はドメイン内であれば,どのコンピュータからも編集できるという利点があります。なお,既定では中央ストアは設定されていません。この場合,ローカルのテンプレートが読み込まれます。
管理テンプレートは,従前の「ADM形式(*.adm)」とWindows Vista/Windows Server 2008以降から使われる「ADMX形式(*.admx, *.adml)」があります。ADMX形式の方が多くの設定が可能ですが,Windows Vista/Windows Server 2008以降のコンピュータにしか適用されません。
(2) Microsoft Office2007/2010/2013管理用テンプレート
既存の「管理用テンプレート」以外でよく用いられるものとして,Microsoft Officeのアプリケーションソフトウェアの設定を行う「管理用テンプレート」があります。ここでは,この「管理用テンプレート」をダウンロードして適用する方法を紹介します。
ア Microsoft Office2007/2010/2013「管理用テンプレート」のダウンロード
Microsoft Officeの「管理用テンプレート」は,カスタマイズツールとともに,Microsoft社のサイトからダウンロードできます。インストールするクライアントにあるMicrosoft Officeのバージョンに合わせてダウンロードします。
| Office 2013 | Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool |
|---|---|
| Office 2010 | Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool download |
| Office 2007 | 2007 Office system (SP2) Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool - 日本語 |
Microsoft Office2013/2010用には64ビットOS用と32ビットOS用があります。AdminTemplates_64(admintemplates_64bit)と書かれているものが64ビットOS用,AdminTemplates_32(admintemplates_32bit)と書かれているものが32ビットOS用です。インストールするコンピュータのOSを確認して,ダウンロードします。また,言語が英語になっていますが,そのままダウンロードして構いません。なお,Microsoft Office2007用は64ビットと32ビットの区別はありません。サービスパックの適用条件によっては,展開できない場合もありますので,ダウンロード先に書かれているインストール要件を確認してください。
ダウンロードしたファイルをダブルクリックして展開します(図40)。
イ Microsoft Office2007/2010/2013「管理用テンプレート」のインストール
図40 展開後の様子(Office2010の場合)
適当なフォルダに展開すると図41のようなフォルダとファイルが展開されます。このうち,必要になるのは,「ADMXフォルダ」です。
図41 ADMXフォルダの内容(Office2010の場合)
「ADMXファイル(*.admx)」とMicrosoft Office製品の対応については,展開した際に含まれていたExcelファイル「office2010grouppolicyandoctsettings_reference.xlsx」に記載されています。また,「ja-jp」や「en-us」など各国の言語に依存する「ADMXファイル(*.adml)」も含まれています。
このADMXフォルダ内のすべてのファイルとフォルダを,「管理用テンプレート」の格納場所「C:¥Windows¥PolicyDefinitions」またはドメイン コントローラー上の「SYSVOL共有¥domain¥policies¥policyDefinitions」(中央ストア)にADMXフォルダごとコピーすれば,インストールは完了します。運用形態に合わせて,インストール場所を決めます。
ウ Microsoft Office2007/2010/2013「管理用テンプレート」の運用例(Word)
「管理用テンプレート」をインストールすると,GPOを作成した際に左ペインに追加したMicrosoft Office製品の「管理テンプレート」が表示されます(図42の左ペイン)。既存の「管理用テンプレート」と同様に設定することが可能になります。
図42 「管理用テンプレート」インストール後のGPO作成画面
Wordの標準設定では,[1.××× ]と入力し,「Enter」キーを押すと,自動的に次の行に[2.]と表示されます。 このオートフォーマットを停止させるため,通常は,それぞれのコンピュータで図43のWordのダイアログ(リボン「ファイル」→「オプション」→「文章校正」→「オートコレクトのオプション(A)...」→「入力オートフォーマット」で表示される)で設定します。しかし,「グループ ポリシー」を用いることで,クライアント一台一台に設定しなくても,簡単に箇条書きのオートフォーマットを停止させることができます。
図43 入力オートフォーマットの設定例(クライアント)
図44 入力中に自動で書式設定する項目(グループ ポリシー)
「グループ ポリシー」の設定
「グループ ポリシー管理エディター」画面左ペインのツリーより,「ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「Microsoft Word 20**」→「Wordのオプション」→「文章校正」→「入力オートフォーマット」→「入力中に自動で書式設定する項目」の順にクリックします。表示された画面より設定する項目をダブルクリックします。
エ Microsoft Office2007/2010/2013「管理用テンプレート」の運用例(Excel)
図45は,Microsoft Excelの詳細設定(リボン「ファイル」→「オプション」→「詳細設定」)の例です。図では,「Enterキーを押した後にセルを移動する」を標準設定の下から右に変更していますが,「グループ ポリシー」を用いることで,各クライアントの設定を同じにすることができます。
図45 詳細設定(Microsoft Excel2010)
図46は「グループ ポリシー」を使用して,Microsoft Excelでセルの値や式を「Enter」キーで確定させた後に,アクティブセルを右に移動させる設定です。
図46 Enterキーを押した後のセル移動の方向
「グループ ポリシー」の設定
「グループ ポリシー管理エディター」画面左ペインのツリーより,「ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「Microsoft Excel 20**」→「Excelのオプション」→「詳細設定」をクリックし,「Enterキーを押した後にセルを移動する」/「Enterキーを押した後のセル移動の方向」をダブルクリック,「右」を選択します。
7 おわりに
「グループ ポリシー」で設定できる項目は数多く,あらゆる設定が可能であるため,「グループ ポリシー」を活用するとコンピュータの管理の幅が広がります。なお,ポリシーの作成にあたっては,まず,学習環境や授業展開の中で,どのような設定が望ましいか明確にしておく必要があります。
複雑なポリシーの場合,設定を有効にしたときにどのように動作するか,また,他への影響が設定時の画面だけでは分かりにくい場合があります。運用前に十分テストして確認することが必要です。
8 参考文献
- 横山 哲也, 片岡クローリー正枝, 河野 憲義
『グループ ポリシー逆引きリファレンス厳選92 (TechNet ITプロシリーズ)』
日経BP社(2013年), ISBN:978-4822298128 - Microsoft TechNet グループ ポリシー
http://technet.microsoft.com/ja-jp/windowsserver/grouppolicy/bb310732.aspx
Microsoft,Windows,Windows Vista,Windows 7,Windows 8,Windows 8.1,Windows Server 2008,Office2007,2010,2013,Word,Excel は米国 Microsoft Corporation の米国及び各国における商標または登録商標です。
その他,本コンテンツに掲載されているすべてのブランド名と製品名,商標及び登録商標はそれぞれの帰属者の所有物です。本コンテンツでは©,®,TM などは明記してありません。